- •Глава 18. Ip-телефония
- •18.1. Протокол sip
- •18.1.1.Упрощенный пример сети на базе протокола sip
- •18.1.2. Cетевые компоненты протокола sip
- •18.1.3. Сообщения sip
- •18.1.3.1. Поля заголовка сообщения при регистрации sip
- •18.1.3.2. Транзакции и диалоги sip
- •18.1.3.3. Маршрутизация сообщений sip
- •18.1.4. Протокол sip-t
- •18.2. Информационная безопасность sip
- •18.2.1. Угрозы иб
- •18.2.1.2. Подмена сервера
- •18.2.1.4. Прерывание сеанса связи
- •18.2.1.5. Отказ в обслуживании
- •18.2.2. Требования к способам обеспечения иб в сети sip
- •18.2.3. Механизмы обеспечения иб
- •18.2.3.1. Механизм иб sip-сети на базе протокола ipSec
- •18.2.3.2. Механизм иб sip-сети на базе протокола tls
- •18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
- •18.2.3.4. Механизм аутентификации пользователя в sip-сети на базе протокола http Digest
- •18.2.3.5. Аутентификация идентификатора пользователя
- •18.3. Транспортировка данных в сети sip
- •18.3.1. Протоколы транспортировки данных
- •18.3.2. Обеспечение иб при транспортировке данных
18.1.2. Cетевые компоненты протокола sip
Сеть SIP содержит следующие основные стандартизированные SIP устройства: SIP агент пользователя, SIP прокси-сервер, SIP сервер переадресации, SIP регистратор, взаимный агент пользователя.
Агент пользователя UA (User Agent). UA является одноранговым (peer-to-peer) элементом, способным инициировать SIP запрос и принимать их. Часть программного обеспечения агента UA, которая создает новые запросы (например, нажатием кнопок на SIP-телефоне), отправляет их и обрабатывает принятые ответы называется клиентом агента пользователя UAC (User Agent Client). Другим примером UAC является перенаправление SIP запроса прокси-сервера от имени UAC. Другая часть программного обеспечения агента UA, которая принимает запросы, обрабатывает их и генерирует ответы, основываясь на действиях пользователя, полученных сообщениях и других событиях, называется сервером агента пользователя UAS (User Agent Client).
UAC и UAS выполняют соответственно функции запроса и ответа, что во многом похоже на принцип “клиент-сервер” протокола HTTP (при котором клиент посылает через сеть запрос серверу, сервер выполняет определенные действия или ищет запрашиваемые данные и затем отсылает ответ клиенту). SIP протокол выполняет транзакцию, которая состоит из запроса к серверу, обработки его сервером и окончательным ответом от сервера. В некоторых случаях сервер может отправить несколько ответов прежде, чем отправить окончательный ответ.
Прокси-сервер (Proxy). Прокси-сервер является промежуточным узлом, который выполняет функцию маршрутизации. Он маршрутизирует SIP-запросы к UAS и SIP-ответы к UAC. На пути к UAS запрос может проходить несколько прокси-серверов. Прокси-сервер действует от имени других клиентов и содержит функции клиента (UAC) и сервера (UAS). Прокси-сервер выполняет также следующие функции:
аутентификацию, т.е. проверку подлинности источника SIP-запроса;
авторизацию, т.е. проверку на право обработки данного запроса в соответствии с принятой политикой
и др.
Сервер переадресации (redirect server). Сервер переадресации предлагает соединиться с UAC по другому адресу (по причине переезда или с целью балансирования нагрузки). Сервер переадресации в отличие от прокси-сервера после получения адреса вызывающей стороны не передает запрос INVITE в оборудование вызываемого пользователя. Сервер переадресации передает этот адрес вызывающей стороне. Оборудование вызывающей стороны завершает транзакцию с сервером переадресации запросом ACK. Затем оборудование вызывающего пользователя передает запрос INVITE на адрес, полученный от сервера переадресации.
Регистратор (registrar) или сервер регистрации. Прежде, чем перейти к функции регистратора рассмотрим принятую адресацию в SIP. Адреса SIP пользователя или ресурса является глобальным маршрутируемым адресом, по которому может находиться пользователь. Постоянные адреса SIP пользователя или ресурса называют записью обращения к адресу AoR (Adress of Record). Эти адреса подобны адресу электронной почты. В качестве адресов пользователей используются специальные универсальные указатели ресурсов — Адреса SIP обычно называют SIP URI (Universal Resource Identifier, единообразный идентификатор ресурсов). Приняты следующие форматы SIP URI:
sip:имя пользователя&домен, sip:имя пользователя&хост.
sip:имя пользователя&IP-адрес, номер телефона&шлюз.
Если указывается доменное (символьное) имя, то с помощью службы (сервера) доменных имен DNS (Domain Name Service) определяется IP-адрес.
Поле пользователя либо по имени, либо по номеру телефона.
Если указывается телефонный номер в соответствии со стандартом ITU-T E.164, то с помощью службы (сервера) ENUM ( Elephone Number Mapping) производится преобразование в IP-адрес и наоборот. Такая необходимость возникает при использовании обычного стационарного телефонного аппарата в сети SIP. Адресация такого аппарата осуществляется по протоколу ITU-T E.164 и включает код страны (CC), национальный код места назначения (NDC), номер абонента (SN).
Ниже приведем примеры адресов SIP URI:
sip:bob&bmstu.ru (пользователь идентифицирован по имени)
sip:3414576& proxy1.bmstu.ru (пользователь идентифицирован по номеру телефона)
В протоколе SIP также используют идентификаторы SIPS URI (SIP Secured URI), указывающие на потребность в защите сквозной сигнальной информации в сети. Вопросы обеспечения ИБ в сети SIP рассматриваются ниже в настоящей главе.
Приведенный на рис. 18.1 и 18.2 пример не учитывает возможность мобильности пользователя. Пользователь может перемещаться в пределах сети, поэтому для установления сеанса необходимо знать адрес его местоположения на текущий момент. Для этого пользователь сохраняет постоянные SIP адреса, называемые AoR. Cвязь между адресом AoR и текущим местоположением пользователя хранится в базе данных сервера регистрации (registrar). Пользователь информирует свой новый адрес в этот регистр с помощью специального сообщения. Пример такой регистрации приводится ниже в разделе 18.1.3.1. Если пользователь желает установить соединение с другим пользователем, необходимо определить адрес узла, по которому доступен адресат. Прокси-серверы и серверы перенаправления позволяют определить этот адрес, обратившись к серверу регистрации. Для предоставления этой информации сервер использует базу данных, в которой каждому запрошенному адресу поставлено в соответствие один или несколько адресов, связанных с вызываемым пользователем. С помощью сервера-регистратора протокол SIP обеспечивает непосредственно агенту изменение в базе данных сервера для определения местоположения. Осуществляется это с помощью запроса REGISTER. Если пользователь провел регистрацию с определенным сервером регистрации, то эта информация будет впоследствии использована прокси-сервером этого домена для маршрутизации к терминалу этого пользователя. Когда пользователь передает запрос REGISTER, он может предложить срок действия этой регистрации.
Взаимный агент пользователя (Back-to-Back User Agent – B2BUA). Прокси-сервер является пассивным элементом, осуществляя только ретрансляцию SIP сообщений, вводя в них лишь незначительную модификацию. Это недостаточно, так как иногда требуется управление вызовами со стороны сети. В отличие от прокси-сервера, сервер B2BUA может инициировать новые вызовы SIP, а также изменять и завершать существующие вызовы.
Приведенные серверы на рис. 18.1 выполняют упрощенную функцию прокси-сервера. Дополнительной функцией прокси-сервера в реальной конфигурации сети является установление местонахождении клиента с помощью сервера определения местоположения. В этом случае прокси-сервер после принятия им запроса INVITE от вызывающего пользователя устанавливает местонахождение клиента (т.е. адрес вызывающей стороны) с помощью сервера определения местонахождения. Затем прокси-сервер передает запрос INVITE в оборудование вызываемого пользователя.